Il bridge cross-chain Nomad sembra aver subito un exploit che ha permesso agli hacker di sottrarre una parte significativa dei fondi, attraverso una lunga serie di transazioni.
Quasi tutti i 190,7 milioni di dollari in criptovalute sono stati rimossi, con solo 651,54 dollari rimasti nel wallet, secondo la piattaforma di monitoraggio DeFi Llama.
Tuttavia, Nomad ha successivamente riportato a Cointelegraph che alcuni dei fondi sono stati ritirati da "white-hat hacker" che hanno prelevato i fondi con l'intenzione di salvaguardarli.
Nomad bridge si sta prosciugando, i tuoi fondi potrebbero essere a rischio e potresti essere ancora in grado di ritirare i fondi rimanenti ⚠️ https://t.co/RgYmjSV9eB
— stani.lens (,) (@StaniKulechov) August 1, 2022
Nomad bridge is getting drained, your funds might be at risk and might be able to still withdraw the remaining funds ⚠️ https://t.co/RgYmjSV9eB
— stani.lens (,) (@StaniKulechov) August 1, 2022
La prima transazione sospetta, che potrebbe essere stata la genesi dell'exploit in corso, è avvenuta alle 21:32 UTC quando qualcuno è riuscito a rimuovere dal bridge 100 Wrapped Bitcoin (WBTC), per un valore di circa 2,3 milioni di dollari in token.
Poco dopo che la comunità ha lanciato l'allarme sul potenziale exploit, il team di Nomad ha confermato alle 23:35 UTC di essere a conoscenza "dell'incidente che ha coinvolto il bridge", aggiungendo che sta "attualmente indagando".
Il 2 agosto, in una risposta inviata via e-mail a Cointelegraph, Nomad ha riferito che alcune delle persone che hanno prelevato i fondi hanno agito benevolmente per proteggere la criptovaluta dalle mani sbagliate. Il team ha aggiunto di essersi avvalso dei servizi di "aziende leader nel campo dell'intelligence e della forensica della blockchain".
"Nomad ha avvisato le forze dell'ordine e sta lavorando 24 ore su 24 per affrontare la situazione e fornire aggiornamenti tempestivi. L'obiettivo è quello di identificare i conti coinvolti e di rintracciare e recuperare i fondi. Nomad è grato ai suoi numerosi white-hat hacker che hanno reagito rapidamente ritirando e salvaguardando i fondi".
Finora, almeno una persona si è offerta di agire come white-hat hacker e intende restituire i fondi sottratti al bridge. L'individuo, che su Twitter si fa chiamare "Notifi Bot", ha contattato Nomad in un tweet affermando: "Questo è un whitehack. Ho intenzione di restituire i fondi".
Questo è un whitehack. Ho intenzione di restituire i fondi. Sono in attesa di una comunicazione ufficiale da parte del team Nomad (si prega di fornire un id e-mail per la comunicazione). Non ho scambiato alcun asset anche dopo aver saputo che l'USDC può essere congelato. Trasferimento di USD...https://t.co/ffWoS2kOSA
— Notifi Bot (@notifi_xyz) August 2, 2022
This is a whitehack. I plan to return the funds. Waiting for official communication from Nomad team (please provide an email id for communication). I have not swapped any assets even after knowing that USDC can be frozen. Transferred USD...https://t.co/ffWoS2kOSA
— Notifi Bot (@notifi_xyz) August 2, 2022
L'incidente ha visto la sottrazione di WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL) e Charli3 (C3).
Gli hacker hanno agito in modo insolito, in quanto ogni token è stato prelevato in quantità quasi equivalenti. Ad esempio, le transazioni con esattamente 202.440,725413 USDC sono state eseguite oltre 200 volte.
Nomad è un bridge che consente il trasferimento di token tra Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 e Moonbeam (GLMR).
A differenza di altri exploit diventati piuttosto comuni nel 2022, questo evento ha finora centinaia di indirizzi che ricevono token direttamente dal bridge.
Nel frattempo, la piattaforma di smart contract Moonbeam, della rete Polkadot, il cui token nativo GLMR era uno dei bersagli dell'exploit di Nomad, è entrata in modalità di manutenzione alle 23:18 UTC "per indagare su un incidente di sicurezza". Di conseguenza, le funzionalità di Moonbeam, come le normali transazioni degli utenti e le interazioni con gli smart contract, saranno disabilitate.
1/ Avviso importante: La rete Moonbeam è entrata in modalità di manutenzione per indagare su un incidente di sicurezza relativo a uno smart contract installato sulla rete.
— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) August 1, 2022
1/ Important Notice: The Moonbeam Network has gone into Maintenance Mode in order to investigate a security incident with a smart contract deployed on the network.
— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) August 1, 2022
L'attacco è prematuro per il bridge e per gli investitori del seed round di aprile. Il 29 luglio il progetto ha rivelato in un tweet che Coinbase Ventures, OpenSea e altre cinque importanti aziende del settore cripto hanno partecipato a una raccolta di fondi durante il seed round di aprile, portando Nomad ad una valutazione di 225 milioni di dollari.
Aggiornato con un tweet del potenziale white-hat hacker e una dichiarazione di Nomad sull'incidente inviata a Cointelegraph il 2 agosto.